Offrir une sphère de sécurité contre la responsabilité aux producteurs de logiciels

Tous Les Articles

En mars 2023, la Maison Blanche a publié un nouveau Stratégie nationale de cybersécurité. La stratégie présente une liste de 5 piliers que la Maison Blanche considère comme essentiels pour améliorer la cybersécurité pour tous les Américains, tant dans le secteur public que privé. Le troisième pilier concerne la volonté de façonner les forces du marché pour améliorer la sécurité et la résilience. Une partie de cette liste repose sur l’idée selon laquelle trop de producteurs de logiciels n’investissent pas correctement dans la cybersécurité ou dans les tests appropriés et n’évitent pas leur responsabilité contractuelle. Trop souvent, vous pouvez trouver dans les petits caractères des contrats d'utilisation quelque chose comme : « Le titulaire de la licence s'engage à indemniser et à dégager le concédant de toute responsabilité contre toute perte, coût, dépense ou responsabilité (y compris les honoraires raisonnables d'avocat) découlant d'une réclamation par un tiers. contre le concédant de licence sur la base de l'utilisation du logiciel par le licencié. (voir plus missions)

Alors que les grandes entreprises ont le pouvoir et l’argent nécessaires pour faire respecter de tels contrats, la Maison Blanche considère les producteurs de logiciels et de matériel informatique comme responsables en dernier ressort des logiciels et du matériel qu’ils produisent. Pour citer le document stratégique : « La responsabilité doit incomber aux parties prenantes les plus capables d'agir pour éviter de mauvais résultats, et non aux utilisateurs finaux qui supportent souvent les conséquences de logiciels non sécurisés ni au développeur open source d'un composant qui est intégré dans un produit commercial.

La Maison Blanche propose d'élaborer une législation établissant la responsabilité pour les produits et services logiciels. Une telle responsabilité peut sembler effrayante si vous êtes une entreprise qui s’est appuyée jusqu’à présent sur des accords d’utilisation obscurcis et de transfert de responsabilité pour éviter exactement ce genre de problèmes juridiques. C'est encore plus déconcertant si l'on considère la facilité avec laquelle de telles réclamations sont présentées au système juridique américain.

Pour offrir une carotte à toutes ces entreprises puissantes, la stratégie propose de faire progresser le cadre Safe Harbor pour protéger de toute responsabilité les entreprises qui peuvent prouver qu'elles ont fait tout ce qu'elles devaient pour protéger leurs logiciels. Le terme Safe Harbor n’apparaît dans le document que deux fois. Vous vous demandez probablement en quoi consiste exactement ce cadre proposé, d'où il vient et quels termes sont actuellement couverts ou sont proposés pour couvrir.

Dans cet article, nous examinerons les lois Safe Harbor existantes et verrons où elles s'appliquent actuellement et ce qu'elles offrent aux entreprises qui les respectent. 

Quelles sont les lois Safe Harbor existantes ? Explorer les lois qui offrent actuellement une sphère de sécurité

À ce jour, plusieurs États ont introduit violation de données litiges Lois « Safe Harbor » qui offrent une défense positive contre la responsabilité résultant de violations de données dans le but d'encourager les entreprises à être proactives en matière de cybersécurité. Une organisation doit mettre en œuvre et maintenir des programmes de cybersécurité qui respectent les normes de bonnes pratiques reconnues par l'industrie et être en mesure de démontrer qu'elles s'y conforment raisonnablement au moment de la violation afin de pouvoir bénéficier de la protection Safe Harbor.

Ohio a été le premier État à adopter la défense positive en matière de cybersécurité en 2018. Connecticut et Utah ont récemment adopté leurs lois en 2021. Des lois similaires sur la sphère de sécurité ont été proposées par plusieurs autres États. En particulier, par l'Iowa et le New Jersey en 2020 et par la Géorgie et l'Illinois en 2021 (voir missions pour plus de détails). Même si toutes ces propositions offrent aux entreprises dotées de programmes de cybersécurité une défense positive, les conditions exactes dépendent de l’État. Par exemple, les cadres normatifs de l’industrie mentionnés dans les projets de loi du Connecticut, de l’Ohio et de l’Utah ne sont pas spécifiquement répertoriés dans le projet de loi de Géorgie. La loi géorgienne impose plutôt un cadre « raisonnable » qui prend en compte la taille de l'entreprise, la complexité et la sensibilité des informations protégées. Bien que cette stratégie soit un élément clé des lois des autres États, le projet de loi géorgien semble avoir pris la décision de ne pas limiter les options à ces cadres spécifiques.

En termes de normes acceptables, le cadre de cybersécurité américain le plus répandu aujourd'hui est le SSDF du NIST (NIST800-218) et ce cadre est également mentionné dans le document stratégique de la Maison Blanche. 

Il est important de noter que dans aucun de ces cas, la protection contre la responsabilité n'est absolue. Safe Harbor ne peut pas être utilisé comme moyen de défense si une organisation avait connaissance d’une menace ou d’une vulnérabilité et n’a pas pris de mesures raisonnables pour y remédier en temps opportun, entraînant ainsi une violation de données. Dans l’ensemble, l’idée derrière la législation est d’encourager les entreprises à adopter les meilleures pratiques pour se protéger. S’ils ne respectent même pas le minimum requis par les meilleures pratiques reconnues par l’industrie, ils ne peuvent pas être exonérés de leur responsabilité lorsqu’une violation de données se produit inévitablement. 

Quelle est la part de la CISA dans cette stratégie de cybersécurité ?

En avril 2023, CISA a publié un nouveau guide commun sur la sécurité des logiciels appelé Changer l’équilibre des risques liés à la cybersécurité: Sécurité dès la conception et principes par défaut. Ce guide politique est sorti environ un mois après la publication du document stratégique de la Maison Blanche et son influence est clairement visible. Avec le soutien de plusieurs agences de cybersécurité du monde entier, la CISA vise à adopter la même approche que celle proposée par la Maison Blanche et à la rendre mondiale. Le guide vise à obtenir les fabricants de logiciels doivent assumer la responsabilité de leurs produits et de leur code en faisant preuve d'une transparence radicale et en créant des produits sûrs, en développant des produits qui sont à la fois sécurisés par conception et sécurisés par défaut.

Une autre couche d’informations qu’il est utile d’avoir sur vos composants est leur licence. De nombreux composants open source sont accompagnés d’une licence qui n’est pas compatible avec une utilisation commerciale. Il est important de vous assurer que tous vos composants open source, même ceux que vous n'avez pas inclus vous-même mais qui ont été inclus par un autre composant, sont compatibles avec tout ce que vous essayez de créer en termes de licence.

Ces idées fondamentales sont développées dans le guide CISA, qui propose également aux développeurs de logiciels une longue liste de recommandations concrètes pour rendre leurs produits plus sécurisés.

Il est intéressant de voir combien de ces recommandations spécifiques sont basées sur Cadre SSDF du NIST mais exprimé d'une manière moins volontaire et plus pratique. Par exemple, le guide indique que les développeurs de logiciels devraient intégrer la création de an SBOM dans leur SDLC pour offrir une visibilité sur les composants de leur logiciel. Bien que le SSDF recommande le SBOM, celui-ci n'est jamais mentionné comme une instruction claire et obligatoire.

Légaliser le changement de responsabilité

La stratégie nationale de cybersécurité, ou du moins cette partie de celle-ci, propose de créer un cadre de sécurité unifié basé sur les lois nationales existantes, mais beaucoup plus étendu et complet. D'une part, les lois existantes n'offrent une protection contre la responsabilité qu'en cas de violation de données. Le cadre proposé fonctionnerait pour toute responsabilité en cas de cyberincident, à condition que l'entreprise poursuivie puisse démontrer sa conformité aux meilleures pratiques existantes telles que le SSDF.

Le cadre proposé doit être adaptable et pouvoir évoluer pour intégrer de nouveaux cadres de sécurité et de nouvelles meilleures pratiques au fur et à mesure de leur découverte et de leur mise en œuvre. La stratégie propose de continuer à investir dans des programmes de divulgation de sécurité et dans le développement d'outils et de cas d'utilisation SBOM supplémentaires.

L’écosystème logiciel ne peut pas continuer à progresser comme il l’a fait jusqu’à présent sans un changement sérieux de responsabilité. Il devrait être clair pour tout le monde, producteurs comme utilisateurs, que la sécurité est la priorité absolue dans tout produit logiciel, dès l'idée initiale et la phase de conception. La sécurité ne doit pas être ajoutée après coup une fois le développement terminé. Le transfert de responsabilité ne peut pas avoir lieu sans le secteur privé et, comme ce secteur est connu pour son horreur de l'implication brutale du gouvernement fédéral, l'idée d'offrir une « carotte » sous la forme d'une carte « sortir de prison sans prison » est une bonne incitation. .

Comment prouver l'adhésion aux meilleures pratiques de cybersécurité

Avoir une loi qui dit que vous devez « prouver votre adhésion aux meilleures pratiques existantes » est très bien, comment procéderiez-vous ? Les réglementations américaines actuelles et les meilleures pratiques telles que le SSDF encouragent les producteurs de logiciels à utiliser attestations pour sécuriser leur supply chain et ainsi de fournir une telle preuve. 

Les attestations sont des éléments de preuve vérifiables et signés cryptographiquement (tels que des fichiers, des dossiers, des référentiels, la provenance des fichiers ou les résultats de tests). Ces preuves doivent être liées à un contexte environnemental spécifique, faisant de l’attestation un élément de preuve immuable qui peut être vérifié pour prouver l’existence de l’événement ou du dossier attesté.

Scribe propose un outil appelé Valent qui offre la possibilité de générer des preuves, de les signer dans une attestation, puis de les récupérer et de les vérifier. En utilisant cet outil conjointement avec le Plateforme Scribe Hub vous pouvez générer une liste de preuves d'attestations non seulement pour votre produit final mais pour chacune des versions qui y mènent, démontrant ainsi votre adhésion aux meilleures pratiques de sécurité de manière continue et au fil du temps, plutôt qu'à un moment donné, comme juste après la construction. .

Scribe propose l'utilisation de Valint gratuitement et propose l'utilisation de sa plateforme sur une base freemium – vous pouvez commencer à l'expérimenter gratuitement dès maintenant. Essayez Scribe gratuitement et voyez quels outils et capacités il vous offre. La collecte continue de ces preuves pour chacune de vos versions peut également vous offrir une perspective unique sur la sécurité de vos produits au fil du temps. Puisqu'il semble que les vents dominants du changement pointent vers une responsabilité accrue des producteurs de logiciels, il semble être une bonne idée de commencer à collecter vos preuves concrètes et vos attestations dès maintenant, plutôt que d'attendre que cela soit codifié dans la loi.

Banner 

Ce contenu vous est proposé par Scribe Security, l'un des principaux fournisseurs de solutions de sécurité de bout en bout pour la chaîne d'approvisionnement logicielle, offrant une sécurité de pointe aux artefacts de code ainsi qu'aux processus de développement et de livraison de code tout au long des chaînes d'approvisionnement logicielles. En savoir plus.